[Fedora-users-br] Apache + SSL
Hugo Cisneiros
hugo em devin.com.br
Ter Ago 15 15:01:32 UTC 2006
On Tuesday 15 August 2006 09:58, Leonardo Korndorfer wrote:
> Buenas!
Hau!
> Bom, embora podendo criar uma nova thread achei melhor manter informacoes
> relacionadas na mesma.
O assunto não mudou muito, então manter a thread é viável :-)
> Recorri a lista pois eu estou desenvolvendo um pequeno sistema de
> atualizacao automatica de firmaware para os produtos de minha empresa. O
> servico é totalmente transparente ao usuario (pelo menos deve ser :-). O
> fato é que como nos devemos ter compilacao em tempo de atualizacao - as
> imagens (pois na verdade atualizamos o sistema operacional do produto)
> devem ser geradas a partir de chaves de encriptacao e senhas singulares
> pertencentes a cada um dos equipamentos, senhas e decriptadores (etc) esses
> que estao em um DB no servidor da empresa. Por este motivo, existe o
> problema de que os fontes pra compilacao sao acessiveis pelos usuarios
> (atraves dos equipamentos, mesmo nao sendo tao simples), o que me parece
> inadmissivel.
>
> Estou usando o apache 2.2.3 + ssl.
Habilitar o SSL vai criptografar todo o tráfego entre o cliente e o servidor,
mantendo assim a segurança por este ponto. Ou seja, essencial para o que você
quer :P
> Ja que todas as acoes sao todas feitas por scripts CGI (em shell script) no
> equipamento acessando mais alguns varios scripts de configuracao e
> compilacao no servidor estava pensando se existe algo do tipo https com
> autenticacao por usuario e senha, algo onde eu pudesse usar um post-data ou
> algo assim, passar este usuario e senha de tal forma que 1. estara dentro
> do produto, protegido (pois o cliente soh tem acesso a uma interface web de
> configuracao); 2. o servidor https aceite apenas conexoes autenticadas com
> usuario e senha;
A autenticação por HTTPS é a mesma que por HTTP. Só que com HTTPS tudo é
encriptografado. Ou seja, você pode utilizar o esquema de HTTP Auth do Apache
tranquilamente, como o Felipe indicou com a minha página:
http://www.devin.com.br/eitch/htaccess/
Você também pode usar o próprio sistema CGI para autenticar, manter sessões e
etc, o que inclusive é muito melhor (porém mais complicado). Lembre-se também
de que estas ações vão apenas diminuir um possível risco. Como são CGIs que
lidam com os arquivos restritos que você disponibiliza, lembre-se que estes
CGIs devem ter segurança focada e devem restringir e cuidar para não ter
nenhuma falha. Senão os próprios usuários podem fazer coisas :-)
O esquema de sessões e SSL é implementada nos bancos, então dá pra ter uma
idéia da segurança "ideal" que o pessoal necessita.
> Claro que se houver algo alem de https nao tem problema algum. Andei lendo
> algo sobre SSLFakeAuth e autenticacao de usuario por chaves de certificados
> do cliente, mas ficou tudo muito vago...
Aí já começa a complicar, imagine ter um certificado para cada cliente,
doidera :-) Isso não é preciso.
> Se alguem tiver alguma ideia será muito bem vinda.
>
> []'s
--
[]'s
Eitch
http://www.devin.com.br/eitch/
"Talk is cheap. Show me the code." - Linus Torvalds
Mais detalhes sobre a lista de discussão Fedora-users-br